[Resolvido] - Novos problemas quanto a conexão IPSec…



  • Vamos lá, vou tentar explicar a situação em qual estou:

    Gateway do meu lado: PFSense 2.0.1-Release || Gateway do lado do cliente: Cisco ASA 5520

    Para conexão com o cliente, preciso fazer um Outbound NAT, pois somente nosso IP externo válido está autorizado no firewall.
    Eis os problemas:
    Sem Outbound NAT, o IP que chega no Cisco é  o meu IP interno, não deixando conectar devido as regras.
    Com Outbound NAT, apresenta o seguinte erro:

    May 23 15:22:08 racoon: [xpto > Judah]: [ip_cliente] DEBUG: configuration " ip_cliente [500]" selected.
    May 23 15:22:08 racoon: [xpto > Judah]: INFO: IPsec-SA request for ip_cliente queued due to no phase1 found.
    May 23 15:22:08 racoon: DEBUG: ===
    May 23 15:22:08 racoon: [ xpto > Judah]: INFO: initiate new phase 1 negotiation: meu_ip[500]<=>ip_cliente[500]
    ….
    May 23 15:22:09 racoon: [xpto > Judah]: [ip_cliente] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
    May 23 15:22:09 racoon: [xpto > Judah]: [ip_cliente] ERROR: error message: ''.
     - Esse NO-PROPOSAL-CHOSEN é alguma referente a NAT, segundo um analista de checkpoint que conversei com ele…

    Já tenho regras na WAN permitindo o trafego da portas 500 e 51, regras que estão duplicadas na interface IPSec e na LAN (na duvida...).
    Também já tenho uma regra permitindo todo trafego na interface IPSec.

    Não sei mais o que pode ser feito. Todas as alterações de testes já foram feitas, sempre com os mesmos erros...

    Cogitamos, caso algum interessado do forum desejar fazer uma consultoria a afim de sanar este problema, entre em contato.

    []’s



  • Amigo,

    tem NAT entre o pfsense e o link ou é direto ?



  • @mantunespb:

    Amigo,

    tem NAT entre o pfsense e o link ou é direto ?

    O OTN da vivo ligado diretamente a WAN, com PPOE.

    Agradeço!



  • Moderadores, podem dar este post como RESOLVIDO, por favor….
    Era erro nas configurações do tunel do PFSense



  • @synap:

    Moderadores, podem dar este post como RESOLVIDO, por favor….

    Feito  :)


Locked